Android-Apps: Altbekannte Probleme gefährden Millionen von Nutzern

Sicherheitsforscher haben in beliebten Android-Apps Probleme mit falsch konfiguierten Cloud-Diensten entdeckt. Die wären wohl leicht vermeidbar gewesen.

Artikel veröffentlicht am , Anna Biselli
Manchmal können weniger Apps auch mehr sein.
Manchmal können weniger Apps auch mehr sein. (Bild: Azamat E/unsplash.com)

Die Forschungsabteilung des IT-Sicherheitsunternehmens Check Point hat 23 Android-Apps untersucht und dabei zahlreiche Sicherheitsprobleme mit falsch konfigurierten oder integrierten Cloud-Diensten gefunden. Bei einigen der Anwendungen konnten die Forscher auf ungesicherte Datenbanken zugreifen, bei anderen waren Schlüssel für Push-Notifications oder Cloud-Speicher in den Anwendungen selbst gespeichert.

Stellenmarkt
  1. Java Software Developer (w/m/d) Customer Service
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster, Oberviechtach
  2. Referent (m/w/d) Akademische Weiterbildung Schwerpunkt Studiengang-Management
    Technische Hochschule Ingolstadt, Ingolstadt
Detailsuche

Verwunderlich an der Untersuchung von Check Point sind nicht die Probleme an sich, sondern dass auch Apps mit teils mehr als zehn Millionen Installationen grundlegende Sicherheitspraktiken nicht beachten.

Insgesamt seien über alle untersuchten Apps hinweg persönliche Daten von 100 Millionen Nutzern zugänglich gewesen, darunter Nachrichten, Passwörter, Fotos oder Geodaten, so Check Point. Die Sicherheitslücken traten durch Fehlkonfigurationen von Drittanbieter-Diensten auf, die in die Apps integriert sind. Durch Real-Time-Datenbanken etwa können Entwickler Daten synchron und Plattform-unabhängig für alle Nutzer bereitstellen. "Aber was passiert, wenn die App-Entwickler ihre Real-Time-Datenbank nicht mit einer einfachen und grundlegenden Funktion wie der Authentifizierung konfigurieren?", fragt Check Point auf dem Unternehmensblog.

Offenbar noch nicht alle Probleme behoben

In manchen Fällen führten die Probleme nicht nur dazu, dass persönliche Nutzerdaten in falsche Hände geraten konnten wie bei einer untersuchten Horoskop- oder einer Taxi-App. Mit auffindbaren Keys für Push-Notifications wie in einem untersuchten Fall hätten Angreifer potenziell auch falsche Benachrichtigungen an Nutzer senden können.

Golem Akademie
  1. Masterclass Data Science mit Pandas & Python: virtueller Zwei-Tage-Workshop
    29./30.09.2022, Virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
Weitere IT-Trainings

"Stellen Sie sich vor, eine News-App sendet ihren Benutzern eine gefälschte Nachricht, die sie auf eine Phishing-Seite weiterleitet, auf der sie aufgefordert werden, ihr Abonnement zu verlängern", so Check Point. Bei den Apps Screen Recorder für Bildschirm-Aufnahmen und dem Online-Fax-Service iFax wäre es außerdem möglich gewesen, auf die in einem Cloud-Speicher abgelegten Recordings, beziehungsweise Faxe zuzugreifen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Eine komplette namentliche Liste aller untersuchten Apps veröffentlichte Check Point nicht. Laut The Hacker News haben nicht alle der App-Anbieter die Probleme behoben, nachdem sie benachrichtigt wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


abi (Golem.de) 21. Mai 2021

Vielen Dank für den Hinweis, ist korrigiert!

Robert.Mas 21. Mai 2021

Artikel: "bei anderen waren Schlüssel für Push Notifications oder Cloud Speicher in den...

derdiedas 21. Mai 2021

zumindest für so machen App-Entwickler. SAML/OAuth kennen viele nicht genauso wenig wie...



Aktuell auf der Startseite von Golem.de
Xiaomi Watch S1 Active im Test
Wenn sich beim Joggen der Schlafmodus meldet

Eine günstige Sportuhr mit gutem GPS-Modul - das wäre was! Leider hat die Watch S1 Active von Xiaomi zu viele Schwächen, um Spaß zu machen.
Von Peter Steinlechner

Xiaomi Watch S1 Active im Test: Wenn sich beim Joggen der Schlafmodus meldet
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
    Strange New Worlds Folge 1 bis 3
    Star Trek - The Latest Generation

    Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
    Eine Rezension von Oliver Nickel

  3. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /